Хакеры могут скрываться на виду на вашем любимом сайте

22 сентября, 2022 Дядя Влад

Исследователи безопасности подробно рассказали, как теневое копирование доменов становится все более популярным среди киберпреступников.

Как сообщает Bleeping Computer , аналитики из Palo Alto Networks (Unit 42) рассказали , как они столкнулись с более чем 12 000 таких инцидентов всего за трехмесячный период (с апреля по июнь 2022 года).

Изображение взломанного компьютера в офисе, полном ПК. — Гетти Изображений

Являясь ответвлением перехвата DNS , теневое копирование доменов дает возможность создавать вредоносные поддомены путем проникновения в законные домены. Таким образом, теневые домены не будут иметь никакого влияния на родительский домен, что, естественно, затрудняет их обнаружение.

Киберпреступники могут впоследствии использовать эти поддомены в своих интересах для различных целей, включая фишинг, распространение вредоносных программ и операции управления и контроля (C2).

«Из этих результатов мы пришли к выводу, что теневое копирование домена представляет собой активную угрозу для предприятия, и его трудно обнаружить без использования алгоритмов автоматизированного машинного обучения, которые могут анализировать большие объемы журналов DNS», — заявили в Unit 42.

Получив доступ, злоумышленники могут взломать сам основной домен и его владельцев, а также нацелиться на пользователей с этого веб-сайта. Тем не менее, они добились успеха, заманивая людей через субдомены, в дополнение к тому факту, что злоумышленники остаются незамеченными гораздо дольше, полагаясь на этот метод.

Из-за тонкой природы теневого копирования домена Unit 42 упомянул, как сложно обнаружить реальные инциденты и скомпрометированные домены.

На самом деле платформа VirusTotal выявила всего 200 вредоносных доменов из 12 197 доменов, упомянутых в отчете. Большинство этих случаев связаны с отдельной фишинговой кампанией, в которой используется сеть из 649 затененных доменов через 16 скомпрометированных веб-сайтов.

Предупреждение о взломе системы отображается на экране компьютера. — Гетти Изображений

Фишинговая кампания показала, как вышеупомянутые поддомены отображали поддельные страницы входа или перенаправляли пользователей на фишинговые страницы, что может фактически обойти фильтры безопасности электронной почты.

Когда поддомен посещает пользователь, запрашиваются учетные данные для учетной записи Microsoft. Несмотря на то, что сам URL-адрес не из официального источника, инструменты интернет-безопасности не способны отличить законную страницу входа от поддельной, поскольку никаких предупреждений не выдается.

Один из случаев, задокументированных в отчете, показал, как базирующаяся в Австралии обучающая компания подтвердила своим пользователям, что ее взломали, но ущерб уже был нанесен через поддомены. Индикатор выполнения процесса восстановления был продемонстрирован на его веб-сайте.

В настоящее время «модель высокоточного машинного обучения» Unit 42 обнаружила сотни теневых доменов, создаваемых ежедневно. Имея это в виду, всегда дважды проверяйте URL-адрес любого веб-сайта, который запрашивает у вас данные, даже если адрес размещен на доверенном домене.